文 | 中国电子科技集团公司第十五研究所 信息产业信息安全测评中心 袁泉、霍珊珊、刘艺翔、闫思宇、孙琪;中国网络安全审查技术与认证中心 申永波

近年来,随着互联网技术的快速发展和应用,各国政府和企业都在加大对信息安全的投入和重视,推动了信息安全行业的快速发展。信息安全需求也持续增长,同时也要求信息安全供应商不断提升自身的技术水平和服务能力,以适应市场变化和客户需求。信息技术(IT)产品的种类和发展不断增加,其相关标准规范的建立也成为普遍关注的话题。

一、GB/T 18336 标准介绍

为建立我国信息技术产品安全技术要求,保障我国信息安全建设,2001 年,中国信息安全测评中心牵头对国际标准 ISO/IEC 15408 进行等同采用,形成了国家标准 GB/T 18336-2001《信息技术 安全技术 信息技术安全评估准则》(以下简称“GB/T 18336”)。根据 ISO/IEC 15408 的发展情况,先后修订形成 GB/T 18336-2008、GB/T18336-2015 版,目前 GB/T 18336 的第三次修订工作已接近尾声。现行的 GB/T 18336-2015 版包括 3 部分,第 1 部分为简介和一般模型,定义了 IT 安全性评估的一般概念和原理,并提出了评估的一般模型。第 2 部分为安全功能要求,建立了一系列功能组件、族和类,作为表述评估对象(Target of Evaluation,TOE)功能要求的标准方法。第 3 部分为安全保障要求,建立了一系列保障组件,作为表述 TOE 保障要求的标准方法。

GB/T 18336 以一种标准化的语言提出了产品安全相关功能组件和保障组件,标准抽象层次较高,适用于所有具有安全功能的 IT 产品的检测评估。针对具体的 IT 产品检测评估,可以通过开发具体的某一类产品标准规范,即保护轮廓(Protect Profile,PP)来规范该类产品的安全需求和测试评估,提高产品的安全性和检测认证效率。

GB/T 18336 针对安全评估中的 IT 产品的安全功能及其保障措施提供了一套通用要求,这些 IT 产品的实现形式可以是硬件、固件或软件。标准全面阐述了涵盖 IT 产品整个生命周期的安全要求和评估方法,内容丰富全面,具备科学性、通用性、可扩展性等优点,可用于指导产品或系统的开发、生产、集成、运行和维护等。该标准在建设我国信息技术产品检测认证体系、促进国内产业发展等方面发挥了重要的支撑作用。我国标准研制单位以 GB/T 18336 为依据,结合自身安全需求和行业技术特点,针对不同 IT 产品制定了一系列信息安全测评相关的国家标准和行业标准。

二、IT 产品安全技术要求建立的思路与方法

本文中 IT 产品安全技术要求是指 IT 产品的 PP,即分级安全技术要求,分级是指信息技术产品的评估保障级(EAL)。GB/T 18336 作为一项通用的信息安全评估标准,针对安全评估中的 IT 产品的安全功能及其保障措施提供了一套通用要求,对IT产品安全技术要求的建立有很强的指导作用。

建立 IT 产品安全技术要求时,要从 TOE 需保护的资产及面临的安全问题出发,论述为了抵抗威胁必须达到何种安全目的。为了便于理解,将安全目的进一步细化为一组规范性的安全功能要求,并选取与 EAL 对应的特定安全保障要求集合。具体思路如下:

(一)确定 TOE

描述 TOE 定义、类型、用途、物理范围和逻辑范围等内容。其中,物理范围指构成 TOE 的硬件、固件、软件及指南的所有部分。在描述 TOE 物理范围时,可采用结构图或列表等形式描述 TOE 的所有构成部分,并对图表中的每一项进行详细解释。同时,应界定出物理评估边界,即哪些部分在评估范围之内,哪些部分在评估范围之外。逻辑范围是指 TOE 提供的安全能力。在描述 TOE 的逻辑范围时,应列出 TOE 提供的所有安全特征,并逐项进行详细描述。同时,应界定出逻辑评估边界,即哪些安全特征在评估范围之内,哪些安全特征在评估范围之外。

(二)识别安全问题,明确安全目的

通过确定 TOE 的范围,识别要保护的资产,分析威胁、组织安全策略、假设。

资产是由 TOE 策略保护的信息和资源,可能遭受威胁主体通过某种方法侵害但具有价值的实体,与 TOE 相关的资产可考虑信息资产、过程资产和物理资产三个类别。识别资产的过程可能成为识别保护重要资产所需措施的一部分。

威胁引发了对资产的风险,由威胁主体对资产执行的敌对行为组成。识别威胁主体需要考虑以下因素:通过损害资产可能获利的人;能够损害资产的人,即能够访问处理资产的 IT 系统的人;可能具有技术、机会、可用资源和动机的人或组织,其中可用资源可能是自动攻击或网络嗅探工具等。威胁描述应尽可能独立,仅涉及那些可能直接危害被保护资产的事件,并应唯一标识每个威胁。

组织安全策略(OSP)是指组织为保障其运转而规定的若干安全规则、程序、规范和指南。首先对照已存在的和相关的威胁,审查所有组织安全策略,然后再将策略写入安全技术要求,应唯一标识每个 OSP。

假设说明了对运行环境所做的假设,可以涉及运行环境的物理、人员和连通性方面,但不能对 TOE 的行为做假设,应唯一标识每个假设。

安全目的是以简明抽象的方式对安全问题定义中所定义问题的预期解决方案进行的陈述,分为 TOE 安全目的和环境安全目的。安全目的明确地划分出了在 TOE 安全环境的上下文中由 TOE 实现和不由 TOE 实现的部分。

TOE 安全目的,由 TOE 实现的技术措施来满足,应唯一标识 TOE 安全目的,需要遵循如下原则:一是安全目的应能帮助读者理解由 TOE 处理的安全需求的范围,而不必深入到实现的细节,TOE 安全目的最好独立于实现;二是应确保已定义的安全目的不是对包含在威胁和 OSP 中内容的重述。

环境安全目的,既要由 TOE 环境实现的技术手段来满足,也要由非 IT 手段来满足。TOE 不处理或不能处理的安全需求的环境安全目的必须被标识出来,首先通过依次对每个未被 TOE 完全处理的威胁、OSP 和假设,编辑出一个安全目的的清单,然后作以下两步处理:一是在清单中增加可以覆盖该项目的一个新的安全目的,或者映射一个已有的合适的安全目的到该项目,必要的时候可以修改已有的安全目的;二是当构成安全目的基本原理时,应精练这个清单,需要确保安全目的是作为整体来对抗威胁或满足OSP和假设的。与TOE安全目的相同,环境安全目的也应使用唯一性标识以便于引用。

(三)选取安全要求组件

通常情况下,安全要求选自 GB/T 18336.2 和 GB/T 18336.3 中的组件。但是为了满足安全目的,可能需要一些特殊的安全要求,就需要在本部分自定义新组件,称为扩展组件。基于扩展组件的安全要求,称为扩展安全要求,与安全功能要求和安全保障要求的所有目的相同。

安全要求包括安全功能要求(SFR)和安全保障要求(SAR)两个方面,SFR 对 TOE 预期安全行为进行清晰、无歧义且定义准确的描述,是 TOE 安全目的的转化。通常以一个较详细且抽象的形式表述,但必须是一个完全的转化,并且独立于任何特定的技术解决方案。SAR 对 TOE 获得保障而采取的预期活动进行清晰、无歧义且规范的描述。

SFR 和 SAR 的选择以组件为单位,组件中所有已定义的元素都应包括进来。应根据安全目的选择支持性的 SFR,尤其要考虑 SFR 应该是相互支持、紧密结合且有效的一个整体。需要保护的资产价值越高,面临的风险越大,用于保护资产的安全功能要求的保障级别就越高。任何组织可通过定义其自身的策略和规则来确定保障级别,以确保把其资产面临的风险降到可以接受的水平,然后定义组织中所用到的产品所需的保障级别。如果已有保障包大体可以提供所需的保障级,但缺少针对特定领域的安全目的所需的保障包,那么,就需要包含增强的保障要求以满足安全目的。

选择组件时,需要注意组件之间的依赖关系,以便全面包含必要的 SFR 和 SAR,要注意同一类中不同组件之间可能存在的层次关系,一个组件应当包括在子类内其他组件中规定的全部要求元素。在引用组件时,需要遵循反复、赋值、选择、细化等对组件的操作原则。

(四)保证符合基本原理

保证符合基本原理包含安全目的的基本原理、安全要求基本原理和满足依赖关系的基本原理。

安全目的的基本原理应该通过交叉引用的表格来将威胁、OSP 和假设与安全目的进行映射。每个安全目的至少被映射一项威胁、OSP 或假设,而每一威胁、OSP和假设至少应被一项安全目的所涵盖,在引用表时,提供非形式化的交叉引用信息来表明安全目的是充分满足安全需求的。

安全要求基本原理说明了安全要求的充分必要性基本原理。通过制定一张追溯表表明 SFR 与 TOE 安全目的的对应关系,提供一个证实,该证实分析满足实现 TOE 安全目的的相关 SFR 的有效性,即证明所有 TOE 安全目的都已由 SFR 做了有效对应。对安全目的,要说明这些 IT 安全要求不仅是必需的,而且是充分的。

满足依赖关系的基本原理要求在选取安全要求组件时,必须满足所选组件之间的相互依赖关系,需要通过表格分别列出所选安全功能要求组件和安全保障要求组件的依赖关系。

(五)评估安全技术要求

完成安全技术要求基本制定后,需要对其进行评估,评估完成后才能对外发布。评估严格依据 GB/T 18336.3 定义的 APE 类:PP 评估的要求进行,评估要求证实安全技术要求是技术合理和内部一致的。

三、实践案例

当下,我国已经建成世界上最大的视频监控网络,摄像头的应用已经遍及城市交通、企业、医院、银行、家庭等生产生活的各个场景,在视频监控系统中采集、传输、存储大量包含个人和单位的视频图像以及生物特征信息,甚至承载了许多单位机密的信息。然而,因视频泄漏导致的个人隐私泄漏、商业机密泄漏、不良社会影响等事件层出不穷。为了确保视频监控系统的安全性,防止信息泄露和被攻击,需要采取一系列的安全措施。以下是以 IT 产品“智能摄像头产品”为例,按照 IT 产品安全技术要求的建立思路进行实践。

一是确定 TOE。本技术要求定义的 TOE 是智能摄像头产品。智能摄像头产品通常是指具备互联网功能的一类摄像头产品,它可以实时采集音视频数据,并对这些数据进行处理、压缩编码后通过互联网传输到云端。普通用户可以使用客户端对视频数据进行访问,云端作为管理平台可以直接远程管理摄像头,从而实现设备配网、设备注册、固件更新、日志查看等功能。

智能摄像头产品实现的主要安全特性包含:安全审计、密码支持、安全管理、TSF 保护、数据保护。其中智能摄像头产品提供了审计日志,监测了安全相关事件;密码支持提供了对密码运算的支持;安全管理实现了授权管理员对安全功能、TSF 数据、安全角色的管理;TSF 保护提供了保障 TOE 处于安全状态的能力;数据保护保障了传输中数据的保密性和完整性。

二是识别安全问题,明确安全目的。TOE 需要保护的资产包括 TSF 数据(设备信息、固件包、证书、日志数据等)和用户数据(跟用户有关的数据,如音视频数据)。可能存在的安全威胁包括传输泄露、固件篡改和审计伪造。其中,传输泄露是指攻击者可能会利用设计不佳、标准化欠缺的协议或不安全的密钥管理来执行中间人攻击、重放攻击等。如果攻击一旦成功,将导致关键网络流量的机密性和完整性丧失。固件篡改是指攻击者可能会试图提供被篡改的固件升级包。未经验证的更新、使用非安全或弱加密验证的更新会使TOE容易受到危害。审计伪造是指攻击者通过尝试修改或者删除设备生成的审计记录,成功的伪造将导致设备故障或者攻击没有被排查或者追溯到,从而危害 TOE 的安全。

该安全技术要求未定义组织安全策略,定义的假设为管理平台、可信用户和物理保护。

安全目的分为 TOE 安全目的和环境安全目的,TOE 安全目的包括密码功能、安全管理、通信保护、审计功能、固件完整性和视频保护。环境安全目的包括管理平台、可信用户和物理访问。

三是选取安全要求组件。根据对智能摄像头产品的安全功能的分析研究,为了满足安全目的,共选择安全功能要求组件 14 个,其中大部分来源于 GB/T 18336.2,包括 FAU 类组件 4 个,FCS 类组件 1 个,FDP 类组件 1 个,FMT 类组件 4 个,FPT 类组件 1 个,FTP 类组件 1 个;有两个功能无法基于 GB/T 18336.2 中的组件提出,进行了扩展,一是 FIA 类扩展组件 FIA_API_EXT.1 满足身份认证证明要求,二是 FPT 类扩展组件 FPT_TUD_EXT.1 以满足安全更新要求。

对于智能摄像头产品,开发者或用户需要中等级别的安全性保障,同时要求在不进行大规模重建的情况下,对 TOE 及其开发过程进行彻底调查,并提供可抵御具有增强型基本攻击潜力的攻击者攻击的脆弱性分析等证据。因此,安全保障要求遵从GB/T18336.3 中定义的评估保障级 3 级的安全保障要求,并在此基础上将 AVA_VAN.2 脆弱性分析增强为 AVA_VAN.3 关注点脆弱性分析。

四是保证符合基本原理。基本原理描述了威胁与安全目的对应关系、假设与安全目的对应关系、安全要求与安全目的的对应关系、安全功能要求组件依赖关系、安全保障要求组件依赖关系,使其满足基本原理要求。

五是评估安全技术要求。完成《智能摄像头产品安全技术要求(评估保障级 3 增强级)》后,依据 GB/T 18336.3 定义的 APE 类:PP 评估的要求,从 PP 引言、符合性声明、安全问题定义、安全目的、扩展组件定义、安全要求 6 方面进行评估,证实该实践是技术合理且内部一致的。

四、结 语

在 GB/T 18336 的推广实施过程中,通过大量的 IT 产品检测认证,我们积累了丰富的标准应用实践经验,推动着我国信息技术安全性评估标准的不断更新和相关标准的制定,不断完善信息技术安全性评估标准体系,使其具备强大的生命力,在我国信息系统安全建设中发挥了更重要的作用,有力地维护了我国网络安全。

(本文刊登于《中国信息安全》杂志2023年第11期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。